DarkSpider

ммм .. подозреваю работать будет отлично , так как заблочит получение этих самых настроек с основного DHCP -) имхо тут надо на роутере поставить скрипт в крон, который будет проверять 67-68 порты и если просечет IP отличный от оригинального - выдаст txt-файл на рабочий стол админа. Запуск в кроне раз в час.

Смотри ПМ.

1. форвардинг включал ? echo "1" > /proc/sys/net/ipv4/ip_forward ? 2. собственно маскарадинг iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -o eth0 -j MASQUERADE

выложи тут вывод команды iptables-save и route-n и cbq list или мне в ПМ.

Такой вопрос топикстартеру : зависает сервак или инет ? Касательно аплоада - подхватили юзеры такой троян Trojan-Goldu или как-то так. Создаться около 25-80 маленьких аплоад соединений на юзера. В итоге через каждого юхера прокачиваеться около 10 гиг трафика ежесуточно. Есстественно ни о каком инете говорить не приходиться. Проблемма решилась обрезкой 25 порта сначала на каждого юзера, а потом и на всю подсеть. Любителям Юзать TheBat попросили указать отличный от 25-го порт на любимом почтовике. Все соедиения инициировались на 25 порту.

DISCLAIMER - ВНИМАНИЕ - УВАГА Сайт не предоставляет электронные версии произведений, а занимается лишь коллекционированием и каталогизацией ссылок, присылаемых и публикуемых на форуме нашими читателями. Если вы являетесь правообладателем какого-либо представленного материала и не желаете чтобы ссылка на него находилась в нашем каталоге, свяжитесь с нами и мы незамедлительно удалим её. Файлы для обмена на трекере bt.kpi.cc предоставлены пользователями сайта, и администрация не несёт ответственности за их содержание. Просьба не заливать файлы, защищенные авторскими правами, а также файлы нелегального содержания! Please don't upload copyrighted or illegal files! All logos and trademarks in this site are property of their respective owner. The comments are property of their posters, all the rest ©. Типа такого, но не уверен что проканает на 100% - это если на что-то типа ДЦ++ или http каталога

именно так. А еще я там прописываю начальные значения шейпера и фаервола.

1 и 3 строчки в rc.firewall ну или как там у тебя зоветься скрипт начальной установки. 2 - в онконнект. Примеров море в первой прилепленной теме по скриптам. не забудь удаление этой строки в ондисконнекте. только она будет выглядеть как iptables -t mangle -A FORWARD -s 192.168.1.2(3,4,5 и так далее) -d 0/0 -o eth1 -j ACCEPT для верности в ондисконнект я прописываю iptables -t mangle -A FORWARD -s 192.168.1.0/24 -d 0/0 -o eth1 -j DROP

Мнение админа желающего немного сменить обстановку : чтоб работать в Киеве нужно как минимум учесть проживание+проезд+еда+плюшки , а это никак в 500 у.е. не вкладывается. Это для иногороднего. Так как не местный, то могу высказать только ИМХО - работающему админу не будет времени выезжать к клиентам в любое время : подчеркиваю в любое - так как основное место работы такого не потерпит. Поэтому и рассматривают эту работу (не смотря на кол-во рабочих часов, которые кстати, тоже колеблються от 2-х и до .... ) более менее серьезно. Поэтому нужно для нее смотреть в сторону менее квалифицированного специалиста. Как посказывали выше в идеале подойдет студент, которому 500у.е. карман не жмет, но и день особо не загружает. По поводу суппорта : я сам сменил прова только из-за качества суппорта. Но и в остальных сферах стараюсь выбирать фирмы , которые пусть предложат немного более высокую цену, но и более качественный суппорт.

Только у меня не работает "Быстрый ответ" на 3 Фаерфоксе ? Ява скрипты включены. На Опере и ИЕ не проверял. Кому так не нравиться основной дизайн - со временем можно прикрутить скины.

Ну договориться то можно, а вот что из этого выйдет .... Я договорился и без башляний ... подключил 2 метра (акционных) и все работало тип-топ. а вот после месяца начались траблы. Постоянные разрывы (оО нет не то, что вы подумали ). Постоянный разговор с саппортами на тему: почему нет связи с линком, почему скорость в 2 раза меньше заявленной, почему модем не держит линию и т.д. Это раз. На работе подключен 512 анлим УТ. Если с 1 компа качают 3-4 закачки по 10 метров , остальные сидят в Ж..Е. Инет раздаеться Юзергейтом, стоят ограничения по 10 кб\с. Режет криво. Одну закачку режет - норм больше одновременно - какой-то фуфел выходит. Скажу сразу на винду и Юзергейт не грешить и флуд не разводить, так как привел просто в качестве примера. Короче от УТ я не в восторге, а особенно от их саппорта. ======================================================================== Сейчас подключился к местному кабельному. Инет береться у ЕвроТрансТелекома. 3 МБ канал - стоит насколько я знаю недешево (так дет и выходит по 750 , а может и больше за 1 мб\с). Зато подключено более 130 пользователей. Локалка в городе по оптике до многоэтажки , а там витуха. Тарифы : 64кб\с - 30 гр 128кб\с 60 гр 256кб\с 90 гр 512кб\с 120 гр 1024кб\с 170 гр (ну может ошибся где, так как на память не помню) Услуги в сети: ДЦ++ Форум С отдельного компа идут закачки по заказам клиентов с торрента и складываются в папку по ДЦ++ Чат (используеться клиент ДЦ++) игровые: Сервер КС 1.6 АМХ Сервер КС 1.6 с ботами Сервер Батлнета Старкрафт Сервер Q3 Планируется: АЙПИ телевидение. На частный сектор WiFi Подключение составляет 100 гр. Прокладка кабеля в квартиру за счет прова.

http://www.kolobok.us/modules.php?name=Fil...b202c004b7c21f1 Воть .... http://www.kolobok.us/ или на Ваш вкус ...

Приведи примеры скриптов и начальную настройку фаервола. У меня была подобная ситуация. Правила фаера были : iptables -A FORWARD -i eth0 -s $2 -j ACCEPT iptables -t nat -A POSTROUTING -s $2 -d 0/0 -o eth1 -j SNAT --to-source xx.xx.xx.xx А на отключение соответственно удаление этих правил. iptables -D FORWARD -i eth0 -s $2 -j ACCEPT iptables -t nat -D POSTROUTING -s $2 -d 0/0 -o eth1 -j SNAT --to-source xx.xx.xx.xx Так вот если пользователь отключал авторизатор - инет вырубался , НО если была хоть одна АКТИВНАЯ ЗАКАЧКА , то инет у него оставался пока она не закончиться, а то и дольше. Поэтому на дисконнект пришлось прилепить еще одно правило в таблице mangle. iptables -D FORWARD -i eth0 -s $2 -j ACCEPT iptables -t nat -D POSTROUTING -s $2 -d 0/0 -o eth1 -j SNAT --to-source xx.xx.xx.xx iptables -t mangle -A FORWARD -i eth0 -s $2 -j DROP Вот после этого инет уже вырубаеться точно. Да не забудь удалить это правило при коннекте.

Насервере П3 двуядерный, на домашней (где и пробовал) Атлон ХР 1.4. Думаю попробовать собрать ядро , как и советуют, без СМП, и с HZ 100.

Ну собственно оттуда и брал тарбол. А статья 1 в 1 как в опен.нет. =( итог - смотри мой пост за вчера в 10:57. А на какой системе и с каким ядром удалось таки его собрать ?

попробовав покопаться в коде - и забив пока на эту идею попробовал поставить версию отсюда: ftp://ftp.simtreas.ru/pub/my/rshaper.tgz все встало без проблем, но через пару минут стабильно падает после : insmod ./rshaper.ko в Kernel Panic и упоминанием rshaper. не распаковывается архивчик =(

Keen ну тогда у Вас получается та же петрушка что и у меня. Только непонятно как режеться скорость по этому самому интерфейсу. У меня eth0 в сеть и eth1 в мир. В сеть все норм , все устраивает, по миру ниче не режеться - ни ингресом , ни шейпером. den68, отлично - почитал - мне понравилось, а не поможете ли собрать это для ASP12 ? Проблемы как я понял в определении местонахождении сырцов ядра и его версии. У меня uname -a Linux spider 2.6.22.9-91.0.120asp #1 SMP Tue Oct 2 00:17:42 EEST 2007 i686 athlon i386 GNU/Linux Исходники в /usr/src/kernels/2.6.22.9-91.0.120asp-i686. Чтоб не менять многое просто создал симлинк в /usr/src/linux. Пробую make: make make -C /usr/src/linux M=`pwd` modules make[1]: Entering directory `/usr/src/kernels/2.6.22.9-91.0.120asp-i686' awk: cmd. line:1: fatal: cannot open file `/include/linux/version.h' for reading (Нет такого файла или каталога) CC [M] /mnt/rshaper/rshaper.o /mnt/rshaper/rshaper.c:29:26: error: linux/config.h: Нет такого файла или каталога /mnt/rshaper/rshaper.c: В функции ‘rshaper_rx_hook’ /mnt/rshaper/rshaper.c:345: ошибка: ‘struct sk_buff’ has no member named ‘nh’ make[2]: *** [/mnt/rshaper/rshaper.o] Ошибка 1 make[1]: *** [_module_/mnt/rshaper] Ошибка 2 make[1]: Leaving directory `/usr/src/kernels/2.6.22.9-91.0.120asp-i686' make: *** [rshaper.ko] Ошибка 2 Почитал http://www.opennet.ru/base/net/rshaper.txt.html попробовал подправить GNUMakefile и Makefile - руки ростут явно не оттуда. Сможет кто подправить файлики согласно моим путям и версии ?

geo_l, Во первых можешь смело выбрасывать скрипты OnConnect и OnDisconnect так как там они для IPFW и FreeBSD и посмотреть соседние ветки. Там есть скрипты для Линукс. Например http://local.com.ua/forum/index.php?showto...indpost&p=93000 или http://local.com.ua/forum/index.php?showto...indpost&p=93085 ну или всю ветку http://local.com.ua/forum/index.php?showtopic=2020 посмотри

ankos, умные свичи некатят. Они и так стоят, но если зарезать скорость по порту, то и локалка соответственно будет с низкой скоростью. Сервер и так стоит самба. Про ВПН и локалку - это я погорячился - признаю. ВПН - не годиццо потому как уже подключено более 100 пользователей (цифра ближе к 200) и бегать к каждому ставить ВПН, потом объяснять каждому зачем это нужно .... в общем - не вариант (хотя после сегоднешних экспериментов - признаю шейпить намного удобнее ). У тебя шейпер прописан статично ? Я так тоже делал, но как быть если юзеру вздумается изменить скорость ? это гемор для админа. Я изначально делал шейпер в скриптах - все работало на Ура. Вот только для 30+ пользователей - норм - больше уже запары : изменение тарифа и прочее - лучше динамика. Для входящего и так все норм - хотелось бы еще и исходящий прикрутить. Тоже смотрел в поддержку IMQ, но для этого ядро вроде прийдеться пересобирать - а толком в этом не разбираюсь - делал то раза 2-3. На рабочей системе как-то не хочеться эксперементировать. За примеры спасиб - на будущее смотрю все же в сторону HTB. Но вопрос с исходящим остаеться пока открытым.

Keen, ну тут все в принципе понятно. Для меня это идеальный вариант, вот только есть пара вопросов: vpn1 - это твой интерфейс , смотрящий в нет ? тогда какими правилами фаера ты разрешаешь туда доступ юзерам ? Если iptables -A FORWARD -o vpn1 -s $yournet/24 -d 0/0 -j ACCEPT iptables -t nat -A POSTROUTING -o vpn1 -j MASQUERADE (или iptables -A POSTROUTING -o vpn1 -s $yournet/24 -d 0/0 -SNAT --to-source xx.xx.xx.xx) то шейпинг на vpn1 работать не будет, так как за НАТом (ну насколько я понял) . Или есть какие-то другие варианты ?

madf, Локальная сеть конечно будет доступна, а вот такие сервисы как DC++ нет , так как будут попадать под действия шейпера (скорее всего). Второй вопрос в том - я так понял пользователю прийдеться : а) Запустить авторизатор б) Запустить Впн соединение ? Ну и третий , чет как то мне мало представляеться бегающий админ в течении недели и настраивающий всем ВПН. Тут пару часов без инета и уже паника, а что говорить про неделю .... И так , на будущее - я так понял входящий траффик к клиенту шейпить надо буит по eth0 , а исходящий от него по pppX ? Если честно мне больше по душе простая идея с шейпингом траффика к клиенту по eth0, а от него по eth1 , но как тогда это реализовать без НАТ ?

Ну насколько я понял тебе нужна штатный анлим тариф. Я создал тариф unlim_512 с абонкой 100 гр. Все остальное по 0. В любое время суток. Да вроде и все. Абонка снимается в конце месяца. Если на счету денег не хватает, пользователь не сможет авторизоваться. Или лето на дворе или лыжи не едут или я не понял тогда сути вопроса =)

ankos, оно с одной стороны да. С другой Юзерам прийдется запускать вместо авторизатора ВПН соединение - это раз. Вижу по крайней мере 2 минуса : 1. Для неопытных пользователей (а таких большинство) долго объяснять, что юзать локалку надо с выключенным ВПН. 2. Авторизатор довольно удобен для рассылки масс-сообщений. Запускать 2 программы вместо 1, это целый геммор. Да и Админу прийдеться оббежать более 100 пользователей для настройки и долгих дебатов-объяснений пользователям. Неужели нет никого , у кого бы нормально был реализован шейпер исходящего (от клиентов) траффика. Самое отстойное, что гугль по этому поводу молчит как партизан =( и кроме ingress вариантов я не нашел .

Апну темку про шейпер в Linux. Ось ASPLinux 12 (Carbon) скрипты : Shaper_and_Firewall: #!/bin/bash echo "1" > /proc/sys/net/ipv4/ip_forward iptables -t mangle --flush ########################## SHAPING ######################################## #shaping initialization #deleting root qdisc tc qdisc del dev eth0 handle ffff: ingress tc qdisc del dev eth0 root handle 1: cbq avpkt 1000 bandwidth 100Mbit #creating root qdisc tc qdisc add dev eth0 handle ffff: ingress tc qdisc add dev eth0 root handle 1: cbq avpkt 1000 bandwidth 100Mbit OnConnect : #!/bin/bash int_iface=eth0 # Login LOGIN=$1 #user IP IP=$2 #cash CASH=$3 #user ID ID=$4 default_speed=32kbit #========= LIMIT ===================== usersconf="/var/stargazer/users/$LOGIN/conf" usersstat="/var/stargazer/users/$LOGIN/stat" anlim_key="anlim_" logfile="/var/log/stargazer-test" if [ ! -e "$usersconf" ]; then echo "ERROR: User file '$usersconf' not found" >> $logfile exit fi TariffName=`cat "$usersconf" | grep "Tariff=" | cut -d"=" -f2` # limit if [ "_${TariffName#$anlim_key}" != "_${TariffName}" ]; then limit_value=${TariffName:${#anlim_key}:4} case $limit_value in 32) lim="4";; 64) lim="8";; 128) lim="16";; 256) lim="32";; 512) lim="64";; 1024) lim="128";; esac limit="-m limit --limit ${lim}/s --limit-burst ${lim}0" fi #========= END of LIMIT =============== declare -i mark=$ID+10 echo "$mark" > /var/stargazer/users/$LOGIN/shaper_mark echo "$speedkb" > /var/stargazer/users/$LOGIN/shaper_rate iptables -t mangle -D FORWARD -i eth0 -s $2 -j DROP iptables -A FORWARD -i eth0 -s $2 -j ACCEPT iptables -t nat -A POSTROUTING -s $2 -d 0/0 -o eth1 -j SNAT --to-source xx.xx.xx.xx #individual shaper tc class add dev eth0 parent 1: classid 1:$ID cbq rate "$limit_value"Kbit allot 1500 prio 3 bounded isolated tc filter add dev eth0 parent 1: protocol ip prio 4 handle 800::$ID u32 match ip dst $IP flowid 1:$ID tc filter add dev eth0 parent ffff: protocol ip prio 50 u32 match ip src $IP police rate "$limit_value"kbit burst 12k drop flowid :1 OnDisconnect: #!/bin/bash int_iface=eth0 # Login LOGIN=$1 #user IP IP=$2 #cash CASH=$3 #user ID ID=$4 mark=$(cat /var/stargazer/users/$LOGIN/shaper_mark) rate=$(cat /var/stargazer/users/$LOGIN/shaper_rate) if [ -n "$mark" ] then iptables -t mangle -A FORWARD -i eth0 -s $2 -j DROP iptables -D FORWARD -i eth0 -s $2 -j ACCEPT while [ $? == 0 ] do iptables -D FORWARD -i eth0 -s $2 -j ACCEPT done fi iptables -t nat -D POSTROUTING -s $2 -d 0/0 -o eth1 -j SNAT --to-source xx.xx.xx.xx case $limit_value in 32) tt1="10";; 64) tt1="20";; 128) tt1="30";; 256) tt1="40";; 512) tt1="50";; 1024) tt1="60";; esac tc class del dev eth0 parent 1: classid 1:$ID cbq rate "$limit_value"Kbit allot 1500 prio 1 bounded isolated tc filter del dev eth0 parent 1: protocol ip prio 4 handle 800::$ID u32 match ip dst $IP flowid 1:$ID tc filter del dev eth0 parent ffff: protocol ip prio 50 u32 match ip src $IP police rate "$limit_value"Kbit burst 12k drop flowid :1 Теперь суть вопроса : 1. Не работает шейпер исходящего (с точки зрения клиента ) траффика. 2. Не убиваються при отсоединении пользователя классы шейпера, что делает невозможным смену скорости. 1. Идей нет. 2. Думаю @ порылась тут : tc class del dev eth0 parent 1: classid 1:$ID cbq rate "$limit_value"Kbit allot 1500 prio 1 bounded isolated tc filter del dev eth0 parent 1: protocol ip prio 4 handle 800::$ID u32 match ip dst $IP flowid 1:$ID tc filter del dev eth0 parent ffff: protocol ip prio 50 u32 match ip src $IP police rate "$limit_value"Kbit burst 12k drop flowid :1 Так как сначала удляю класс, а потом фильтр. НО - если ставлю удалять сначала фильтр - система виснет наглухо при отключении N-ного клиента. Заметьте, что не первого, а второго, третьего и т.д. Собственно интересует каким боком сделать шейпинг исходящего траффика ? Ну и идеи по второму пункту.